问题标签 [identity-aware-proxy]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
google-app-engine - Google App Engine 和 Identity-Aware Proxy - 为 SSH 启用 MFA?
有没有办法为对 App Engine 实例的 SSH 访问启用多重身份验证?我发现的所有内容都指向“操作系统登录”,但它似乎只适用于计算实例。
我知道我可以为组织启用 MFA,gcloud CLI 将强制 MFA 进行初始身份验证,但我希望每次启动 SSH 连接时都进行 MFA 检查。
cors - Google Cloud IAP CORS 政策阻止我的网络应用调用受 IAP 保护的 API
这个问题困扰我很久了,累死了。。。
当我的 Web 应用程序调用受 IAP 保护的 API 端点时,我收到以下错误:
No 'Access-Control-Allow-Origin' header is present on the requested resource.. 有趣的是预检请求和 GET 请求可以工作。
失败的请求是一个 POST content-type: multipart/form-data(我正在上传一个文件)。我一直认为我的 API 有问题,但我在响应中看到了这个标头:x-goog-iap-generated-response: true根据文档,这个响应是由 IAP 生成的。
我找不到任何解决这个问题的方法,我修改了我的 IAP 选项:
它仍然不起作用。我在这里想念什么?
google-cloud-platform - Postman - 通过身份验证保护的访问 API:Google Identity Aware Proxy 背后的 Bearer Token
背景: 我有一个以前在 VPN 后面运行的 API。它为某些路径自行实现 JWT 身份验证的 API,因此我们必须附加:
我们只是更新了我们的 API 以在 Google Identity Aware Proxy 后面运行,并遵循此处的官方文档。除了需要 JWT 身份验证的每条路径外,一切都运行良好。IAP 机制还使用:
并将覆盖现有的Authentication:标题。在不更改现有代码的情况下有任何建议吗?
谢谢你。
python - 以编程方式访问 IAP 背后的网站?
我想访问部署在 GCP 上且位于 Identity-Aware-Proxy (IAP) 后面的网站 REST API。我只需要能够从我的本地计算机访问,我不能使用服务帐户密钥来实现这一点。
我尝试使用gcloud auth login并gcloud auth application-default login设置 application_default_credentials,然后调用 Oauth2 端点来获取 id_token。
无论我尝试什么,我都会不断收到错误“观众客户和客户需要在同一个项目中”。
我在默认凭据中的 client_id (74XXXXXXX) 和 IAP 的 client_id (73XXXXXXX) 不匹配,但它们都使用相同的 GCP 项目。
一直在使用 Python 示例(如何使用用户默认凭据以编程方式对 Cloud Identity-Aware Proxy (Cloud IAP)-secured 资源进行身份验证?)问题:
任何想法如何通过本地用户凭据传递 IAP?
google-app-engine - 不能通过 IAP 将 SSH 隧道连接到 App Engine 实例吗?
我了解 App Engine 实例的可配置性有限,但当它们处于调试模式时,可以通过 SSH 访问它们。在这种情况下,我们通过以下方式连接它们:
我们希望将 Cloud IAP 添加到组合中。我读过的所有内容都表明应该对流量的终点完全透明。IAP 不会终止 ssh 连接,它只是决定是否将流量传递到目的地或丢弃。因此,我们无法更改实例的内部 SSH 配置应该不是问题。如果它现在工作,它应该在通过 IAP 隧道时工作。
但是我发现的所有说明都只讨论了为计算实例设置它,并连接到:
gcloud app instances ssh不支持--tunnel-through-iap参数。App Engine 应用不会作为资源显示在 Identity-Aware Proxy 管理页面的“SSH 和 TCP 资源”部分中,仅显示在“HTTPS 资源”下。
这真的不可能吗?如果是这样,为什么不呢?如果 IAP 对网络流量像预期的那样透明,那么它应该不需要 App Engine 端的任何特殊支持。
google-cloud-platform - GCP - 身份感知代理 - 如何检索 OAuth 2.0 凭据?
我创建了一个谷歌应用引擎项目,其服务受 IAP 保护。
我了解如何使用签名的标头来获取经过身份验证的用户的身份。但是我将如何检索他们的 OAuth 2.0 凭据?
任何其他实现此目的的方法(使用 GCP)的建议也将不胜感激。
google-cloud-platform - 哪些用户可以访问受 Identity Aware Proxy 保护的内部 OAuth 应用程序的 AppEngine 应用程序?
IAP 允许您通过使用roles/iap.httpsResourceAccessor. 如果我在 IAM 中有一个名为的组participants并将外部人员(个人 gmail 帐户和承包商)添加到该组,这些人是否可以访问我的应用程序?或者我是否必须提交申请以进行验证,即使我想限制我们的员工和参加研讨会的几十名客户的访问权限?
换句话说,IAP 是否将“组织中的人员”定义为@myorg.com仅拥有电子邮件地址的人员或属于具有 IAM 权限的组的人员?
google-cloud-platform - 目前是否可以在 GCP 中以编程方式启用 iap.googleapis.com?
目前是否可以在 GCP 中以编程方式启用 iap.googleapis.com?
当我们目前在terraform中配置iap服务时,它似乎并没有完全启用。
当我在 gcp 控制台中访问 IAP 页面时,它告诉我:
“在您可以使用 IAP 之前,您需要配置您的 OAuth 同意屏幕。”
Terraform 似乎没有更改此选项的选项 - 是否有我们可以手动调用的 api,或者我们无法自动化这部分?
谢谢
websocket - 带有云的 Web 套接字在 IAP 后面的负载均衡器后面运行
我在云运行下有一个 API。我的云运行服务位于负载均衡器后面。
我想打开一个从我的前端应用程序到我的 API(wss 协议)的套接字连接。
当我使用云运行服务 url 时,它可以工作,但是当我使用我的自定义域名时,我收到一个错误“未定义”并且连接立即关闭。没有日志,让我很难调试。
由于我想将我的入口权限限制为允许内部流量和来自 Cloud Load Balancing 的流量,因此我无法使用云运行服务 URL。
在我的负载均衡器上,我的前端使用的是 HTTPS 协议。
我不明白是什么阻止了我的套接字连接。请询问任何细节或进一步调查。因为我不知道从哪里开始我的调查,所以我很难写出一篇好文章。
更新
如果我使用“全部允许”下的云运行 url 进行连接,它可以正常工作,正如我所说的那样。但我注意到另一种行为。如果我使用云运行 url 进行第一次连接,然后尝试在同一浏览器上使用我的自定义域 url 进行连接。它可以工作,而如果我在另一个浏览器或私人窗口上执行相同的操作,它会失败并显示 302 状态代码。
更新
因此,禁用 IAP 似乎允许我的前端打开到我的 API 的 websocket 连接。
现在我正在尝试找到一种方法来做同样的事情,但要激活 IAP..
谢谢
python - 使用 python 以编程方式启动 IAP 隧道
我正在尝试通过 IAP 隧道连接到虚拟机,我需要先打开隧道我可以使用 gcloud CLI 来完成,但是我想通过 python 脚本来完成,可能不必求助于运行带有子进程库的 bash 命令
有人知道是否有允许我打开 IAP 隧道的 python 库吗?
谢谢